ゼロトラストを導入する

Google Cloud アーキテクチャ フレームワークのセキュリティ ピラーのこの原則は、クラウド ワークロード全体で包括的なセキュリティを確保するのに役立ちます。ゼロトラストの原則では、次の方法が強調されています。

• 暗黙的な信頼の排除
• アクセス制御への最小権限の原則の適用
• すべてのアクセス リクエストの明示的な検証の適用
• 侵害を前提とする考え方を採用し、継続的な検証とセキュリティ対策のモニタリングを可能にする

原則の概要

ゼロトラスト モデルでは、セキュリティの重点が境界ベースのセキュリティから、ユーザーやデバイスが本質的に信頼できると見なされないアプローチに移行します。代わりに、送信元に関係なく、すべてのアクセス リクエストを検証する必要があります。このアプローチでは、すべてのユーザーとデバイスの認証と認可、コンテキスト（位置情報とデバイスの状態）の検証、必要なリソースのみへの最小権限のアクセス権の付与を行います。

ゼロトラスト モデルを実装すると、潜在的な侵害の影響を最小限に抑え、機密データとアプリケーションを不正アクセスから保護することで、組織のセキュリティ体制を強化できます。ゼロトラスト モデルは、クラウド内のデータとリソースの機密性、完全性、可用性を確保するのに役立ちます。

推奨事項

クラウド ワークロードにゼロトラスト モデルを実装するには、次のセクションの推奨事項を検討してください。

• ネットワークを保護する
• すべてのアクセス試行を明示的に検証する
• ネットワークのモニタリングとメンテナンス

ネットワークを保護する

この推奨事項は、次の重点分野（インフラストラクチャ セキュリティ）に関連しています。

従来の境界ベースのセキュリティからゼロトラスト モデルに移行するには、複数の手順が必要です。組織では、特定のゼロトラスト制御がセキュリティ対策にすでに統合されている可能性があります。ただし、ゼロトラスト モデルは単一のプロダクトやソリューションではありません。代わりに、複数のセキュリティ レイヤとベスト プラクティスを包括的に統合しています。このセクションでは、ネットワーク セキュリティにゼロトラストを実装するための推奨事項と手法について説明します。

• アクセス制御: Chrome Enterprise Premium や Identity-Aware Proxy（IAP）などのソリューションを使用して、ユーザー ID とコンテキストに基づいてアクセス制御を適用します。これにより、セキュリティをネットワーク境界から個々のユーザーやデバイスに移行できます。このアプローチにより、きめ細かいアクセス制御が可能になり、攻撃対象領域が縮小されます。
• ネットワーク セキュリティ: オンプレミス環境、 Google Cloud、マルチクラウド環境間のネットワーク接続を保護します。
  • Cloud Interconnect と IPsec VPN のプライベート接続方法を使用します。
  • Google Cloud サービスと API へのアクセスを保護するには、Private Service Connect を使用します。
  • GKE Enterprise にデプロイされたワークロードからのアウトバウンド アクセスを保護するには、Cloud Service Mesh Egress ゲートウェイを使用します。
• ネットワーク設計: 既存のプロジェクトのデフォルト ネットワークを削除し、新しいプロジェクトでのデフォルト ネットワークの作成を無効にして、潜在的なセキュリティ リスクを防ぎます。
  • 競合を回避するには、ネットワークと IP アドレスの割り振りを慎重に計画します。
  • 効果的なアクセス制御を適用するには、プロジェクトあたりの Virtual Private Cloud（VPC）ネットワークの数を制限します。
• セグメンテーション: ワークロードを分離しながら、ネットワーク管理を一元化します。
  • ネットワークをセグメント化するには、共有 VPC を使用します。
  • 組織、フォルダ、VPC ネットワーク レベルでファイアウォール ポリシーとルールを定義します。
  • データの引き出しを防ぐには、VPC Service Controls を使用して、機密データとサービスの周囲に安全な境界を確立します。
• 境界セキュリティ: DDoS 攻撃とウェブ アプリケーションの脅威から保護します。
  • 脅威から保護するには、Google Cloud Armor を使用します。
  • Google Cloud エッジでトラフィックを許可、拒否、またはリダイレクトするようにセキュリティ ポリシーを構成します。
• 自動化: Infrastructure as Code（IaC）の原則を採用し、Terraform、Jenkins、Cloud Build などのツールを使用して、インフラストラクチャのプロビジョニングを自動化します。IaC は、一貫したセキュリティ構成、簡素化されたデプロイ、問題発生時の迅速なロールバックを実現するのに役立ちます。
• 安全な基盤: エンタープライズ基盤のブループリントを使用して、安全なアプリケーション環境を確立します。このブループリントには、セキュリティのベスト プラクティスを実装し、Google Cloud リソースを安全に構成するためのガイダンスと自動化スクリプトが用意されています。

すべてのアクセス試行を明示的に確認する

この推奨事項は、次の重点分野に関連しています。

• ID とアクセスの管理
• セキュリティ運用（SecOps）
• ロギング、監査、モニタリング

クラウド リソースにアクセスしようとするユーザー、デバイス、サービスに対して、強力な認証と認可のメカニズムを実装します。セキュリティ管理として、ロケーションやネットワーク境界に依存しないでください。ユーザー、デバイス、サービスは、すでにネットワーク内にある場合でも、自動的に信頼しないでください。代わりに、リソースへのアクセスを試みるたびに、厳格な認証と承認を行う必要があります。多要素認証（MFA）などの強力な本人確認対策を実装する必要があります。また、アクセス権の決定は、ユーザーのロール、デバイスの向き、ロケーションなどのさまざまなコンテキスト要素を考慮したきめ細かいポリシーに基づいて行われるようにする必要があります。

この推奨事項を実装するには、次の方法、ツール、テクノロジーを使用します。

• 統合された ID 管理: 単一の ID プロバイダ（IdP）を使用して、組織全体で一貫した ID 管理を確保します。
  • Google Cloud は、オンプレミスの Active Directory など、ほとんどの IdP との連携をサポートしています。連携を使用すると、既存の ID 管理インフラストラクチャを拡張して、ユーザーのシングル サインオン（SSO）を有効にできます。 Google Cloud
  • 既存の IdP がない場合は、Cloud Identity Premium または Google Workspace の使用を検討してください。
• 制限付きのサービス アカウント権限: サービス アカウントは慎重に使用し、最小権限の原則に従ってください。
  • 各サービス アカウントが指定されたタスクを実行するために必要な権限のみを付与します。
  • Google Kubernetes Engine（GKE）で実行されるアプリケーションやGoogle Cloud の外部で実行されるアプリケーションに Workload Identity Federation を使用して、リソースに安全にアクセスします。
• 堅牢なプロセス: クラウド セキュリティのベスト プラクティスに沿って ID プロセスを更新します。
  • 規制要件に確実に準拠するため、ID ガバナンスを実装して、アクセス、リスク、ポリシー違反を追跡します。
  • アクセス制御のロールと権限の付与と監査のための既存のプロセスを確認し、更新します。
• 強力な認証: ユーザー認証に SSO を実装し、特権アカウントに MFA を実装します。
  • Google Cloud は、Titan セキュリティ キーなど、さまざまな MFA 方法をサポートしてセキュリティを強化します。
  • ワークロードの認証には、OAuth 2.0 または署名付き JSON Web Token（JWT）を使用します。
• 最小権限: 最小権限と職務分担の原則を適用して、不正アクセスとデータ侵害のリスクを最小限に抑えます。
  • ユーザー アクセスのオーバープロビジョニングは避けてください。
  • 機密性の高いオペレーションにジャストインタイム特権アクセスを実装することを検討してください。
• ロギング: 管理者とデータアクセス アクティビティの監査ロギングを有効にします。
  • 分析と脅威の検出を行うには、Security Command Center Enterprise または Google Security Operations を使用してログをスキャンします。
  • セキュリティのニーズとストレージ費用のバランスを取るように、適切なログ保持ポリシーを構成します。

ネットワークのモニタリングとメンテナンス

この推奨事項は、次の重点分野に関連しています。

• ロギング、監査、モニタリング
• アプリケーションのセキュリティ
• セキュリティ運用（SecOps）
• インフラストラクチャのセキュリティ

セキュリティ対策を計画して実装する場合は、攻撃者がすでに環境内にいることを前提としてください。この事前対応型のアプローチでは、次の複数のツールと手法を使用してネットワークの可視性を確保します。

• ロギングとモニタリングの一元化: 一元化されたロギングとモニタリングにより、すべてのクラウド リソースからセキュリティ ログを収集して分析します。

  • 通常のネットワーク動作のベースラインを確立し、異常を検出して潜在的な脅威を特定します。
  • ネットワーク トラフィック フローを継続的に分析して、疑わしいパターンと潜在的な攻撃を特定します。

• ネットワークのパフォーマンスとセキュリティに関する分析情報: ネットワーク アナライザなどのツールを使用します。トラフィックをモニタリングして、異常なプロトコル、予期しない接続、データ転送の急増がないか確認します。これは、悪意のあるアクティビティを示している可能性があります。

• 脆弱性スキャンと修正: ネットワークとアプリケーションを定期的にスキャンして脆弱性を検出します。

  • Web Security Scanner を使用すると、Compute Engine インスタンス、コンテナ、GKE クラスタの脆弱性を自動的に特定できます。
  • 脆弱性の重大度とシステムへの潜在的な影響に基づいて、修正に優先順位を付けます。

• 侵入検知: Cloud IDS と Cloud NGFW 侵入防止サービスを使用して、ネットワーク トラフィックをモニタリングし、悪意のあるアクティビティを検出します。また、不審なイベントを自動的にブロックしたり、アラートを取得したりします。

• セキュリティ分析: Google SecOps を実装して、さまざまなソースからのセキュリティ イベントを関連付け、セキュリティ アラートのリアルタイム分析を行い、インシデント対応を容易にすることを検討してください。

• 一貫した構成: 構成管理ツールを使用して、ネットワーク全体で一貫したセキュリティ構成を確保します。